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Geschutzte kryptographische Berechrtung 

Die Erf iridung betrifft allgemein das technische Gebiet der Kryptographie 
5 . und spezieller eine Vorgehensweise zum verbesserten Schutz einer krypto- 
graphischen Berechnung gegen Angriffe* Insbesondere ist die Erfindung 
zum Einsatz in tragbaren Datentragern vorgesehen, die z.B. als Chipkarten 
(smart cards) in unterschiedlichen Bauf ormen oder als Chipmodule ausge- 
staltet sein konnen. 

10 

Fur den Austausch von verschlusselten und/ oder signierten Daten ist das 
z.B. im US-Patent 4,405,829 beschriebene RSA-Verfahren gut bekannt. Ge- 
mafi dem RSA-Verfahren wird ein offentlicher Schliissel zur Verschlusselung 
oder Signaturverif ikation und ein geheimer privater Schltissel zur Entschliis- 
15 selung oder Signaturerzeugung eingesetzt. Die Sicherheit des RSA-Verfah- 
rens beruht auf der Tatsache, dafi gegenwartig kein effizienter Weg bekannt 
ist, urn die Primfaktoren p und q einer grofien Zahl n mit n = p-q zu bestim- 
men. Wahrend der sogenannte Modulus n als Teil des of f entlichen Schlussels 
veroff entlicht wird, miissen die Werte p und q geheim gehalten werden. 

20 

Die zur Ausfuhrung des RSA-Verfahrens erf orderlichen Berechnungsvor- 
gange sind relativ aufwendig. So miissen z.B. bei der Entschliisselung oder 
Signaturerzeugung die zu verarbeitenden Daten mit Parametern des priva- 
ten Schlussels potenziert werden. Insbesondere fiir tragbare Datentrager mit 

25 ihrer beschrankten Rechenleistung wird daher hauf ig eine Implementierimg 
des RSA-Verfahrens zur Entschliisselung oder Signaturerzeugung einge- 
setzt, die den Chinesischen Restklassensatz (CRT = Chinese remainder 
theorem) verwendet und daher auch als RSA-CRT-Verf ahren bezeichnet 
wird. Durch Verwendung des RSA-CRT-Verfahrens wird der erf orderliche 

30 Rechenaufwand ungef ahr um den Faktor 4 reduziert. 
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Das RSA-CRT-Verfahren sieht vor, statt einer aufwendigen Potenzberech- 
nung zwei erheblich einf achere Potenzierungen durchzuftihren, deren Er- 
gebnisse dann zu den entschliisselten Daten oder der erzeugten Signatur 
kombiniert werden. In die erste dieser Berechnungen geht nur der geheime 
5 Primf aktor p ein, und in die zweite Berechnung geht nur der geheime Prim- 
f aktor q ein. 

Es sind Angiff sszenarien vorgeschlagen worden, bei denen genau einer der 
beiden genannten RSA-CRT-Berechnungszweige gestort wird, z.B. durch 

10 gezielte Einwirkung von Warme oder Strahlung oder durch elektrische 

Impulse. Wenn dies gelingt, laiSt sich aus dem Ergebnis der Gesamtberech- 
nung ein Vielf aches desjenigen Primfaktors p, q ableiten, dessen Berech- 
nungszweig nicht gestort wurde. Mit anderen Worten lassen sich durch den 
beschriebenen Angriff Rtickschlusse auf den privaten Schlussel Ziehen. Dies 

15 hat potentiell katastrophale Konsequenzen, weil nicht nur die gerade durch- 
gefiihrte Entschltisselung oder Signaturerzeugung, sondern alle unter Ver- 
wendung des privaten Schliissels ausgef iihrten kryptographischen Opera- 
tionen kompromittiert werden. 

20 Der gerade erwahnte Angriff ist tmter den Namen "fault attack" oder 

"Bellcore attack" bekannt und z.B. in Spalte 4 des US-Patents 5,991,415 be- 
schrieben. Ebenfalls im US-Patent 5,991,415 wird ein Verfahren offenbart, bei 
dem zum Schutz gegen diesen wahrend der kryptographischen Berechnung 
erf olgenden Angriff ein zusatzlicher Faktor j in die Berechnung eingeht. Es 

25 bestehen jedoch, wie im f olgenden gezeigt werden wird, weiterhin Angriff s- 
moglichkeiten, denen mit dem aus dem US-Patent 5,991,415 bekannten Ver- 
fahren nicht entgegengetreten werden kann. 



-3- 



Besonders kritisch ist die genannte Angriffsmoglichkeit daim, wenn die 
kryptographische Berechnung von einem Prozessor eines tragbaren Daten- 
tragers, beispielsweise einer Chipkarte (smart card) oder eines Chipmoduls, 
ausgefuhrt wird. Ein erster Grund dafiir ist, dafi solche tragbaren Daten- 
5 trager oft ftir sicherheitskritische Anwendungen verwendet werden, z.B. im 
Zusamtnenhang mit Finanztransaktionen, der Zugangskontrolle oder der 
Signatur von rechtlich bindenden Dokumenten. Zweitens befinden sich 
tragbare Datentrager, wahrend die kryptographische Berechnung ausgefuhrt 
wird, typischerweise im Besitz des Angreifers, so dafi dieser alle Moglichkei- 
10 ten zum Beeinflussen der Berechnung und zum Ausspahen der Berech- 
nungsergebnisse hat. 

Die Erfindung hat die Auf gabe, eine Technik zum besonders guten Schutz 
kryptographischer Berechnungen gegen Angriffe bereitzustellen. Insbeson- 
15 dere sollen solche Angriffe verhindert werden, die auf ahnlichen Prinzipien 
wie der oben beschriebene "Bellcore attack" beruhen. In bevorzugten Ausge- 
staltungen soil der erf indungsgemafie Schutz vorteilhaft mit anderen Schutz- 
verfahren zusammenwirken. 

20 Erfindungsgemafi wird diese Auf gabe ganz oder zum Teil gelost durch ein 
Verfahren zum geschtitzten Ausfiihren einer kryptographischen Berechnimg 
mit den Merkmalen des Anspruchs 1, ein Verfahren zum Bestimmen eines 
Schliissels fiir eine kryptographische Berechnung mit den Merkmalen des 
Anspruchs 10, ein Computerprogrammprodukt gemafi Anspruch 12 und ei- 

25 nen tragbaren Datentrager gemafi Anspruch 13. Die abhangigen Anspriiche 
definieren bevorzugte Ausgestaltungen der Erf indxmg. Die Auf zahlungsrei- 
henf olge der Verfahrensschritte in den Ansprxichen soil nicht als Einschran- 
kung des Schutzbereichs auf gef afit werden; es sind vielmehr Ausgestaltun- 
gen der Erfindung vorgesehen, bei denen diese Verfahrensschritte ganz oder 
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teilweise in anderer Reihenf olge oder ganz oder teilweise parallel oder ganz 
oder teilweise ineinander verzahnt (interleaved) ausgefiihrt werden. 

Die Erfindung geht von der grundlegenden Erkenntnis aus, dafi ein Angriff 
5 ahnlich dem oben beschriebenen "Bellcore attack" nicht nur durch Storung 
der Berechnungsvorgange wahrend der kryptographischen Berechnung 
moglich ist, sondern auch dadurch, dafi die kryptographische Berechnung 
mit fehlerhaften Parametern versorgt wird. Dies kann beispielsweise durch 
die Ubergabe einer falschen Zeigeradresse an die Berechnungsroutine 

10 erfolgen, oder dadurch, dafi der Inhalt von Speicherfeldern, in denen 

Schliisselparameter enthalten sind, von aufien geandert wird. Die Erfinder 
haben erkannt, dafi aus dem Ergebnis einer kryptographischen Berechnung, 
die mit derartig verf alschten Parametern versorgt wird, mSglicherweise 
Ruckschliisse auf geheimzuhaltende Schliisselparameter gezogen werden 

15 kSnnen. 

Erf indungsgemafi ist vorgesehen, zum Schutz gegen einen solchen Angriff 
eine Integritatsuberprtifung des fur die kryptographische Berechnung heran- 
gezogenen Schlussels auszufiihren. Durch diese Mafinahme kann der An- 

20 griff erkannt und abgewehrt werden, indem z.B. die kryptographische Be- 
rechnung ohne Ausgabe eines Ergebnisses. abgebrochen wird. Die Integri- 
tatstiberprufung kann eine Manipulation der Schliisselparameter in der 
Regel nicht mit absoluter Sicherheit ausschliefien; sie soil jedoch einen fur 
praktische Zwecke ausreichenden Schutz gegen den genannten Angriff 

25 bieten. Dies impliziert, dafi eine einfache Wertebereichsuberwachung (range 
check) mit einer festen unteren Grenze und einer f esten oberen Grenze nicht 
als Integritatspriifung im Sinne der vorliegenden Erfindung anzusehen ware. 
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Vorzugsweise ist die Integritatspriifung so gestaltet, dafi eine Manipulation, 
bei der ein iiberwachter Schliisselparameter in zufalliger Weise verfalscht 
wird, mit an Sicherheit grenzender Wahrscheinlichkeit, z.B. mit einer 
Wahrscheinlichkeit grOfier als 1 - 10" 3 oder grofier als 1 - 10" 6 oder grofier als 
5 1 - lO 9 , erkannt wird. Wahrend die Integritatsuberpriifung in manchen Aus- 
gestaltungen nur einzelne, besonders kritische Schliisselparameter umf afit, 
ist vorzugsweise vorgesehen, samtliche Parameter eines geheimzuhaltenden 
Schlussels zu iiberwachen. Fur einzelne Parameter oder Parametergruppen 
konnen hierbei im Zuge der Integritatsuberpriifung unterschiedliche Prxi- 
10 fungsverfahren ausgefiihrt werden. 

Die zur Integritatsuberpriifung eingesetzten Verf ahren haben jeweils das 
Ziel, eine Verfalschung des iiberwachten Schliisselparameters oder der iiber- 
wachten Schliisselparameter zu erkennen. In einer bevorzugten Ausgestal- 

15 tung wird bei der Integritatsuberpriifung im Ergebnis ermittelt, ob sich ein 
Schliisselparameter innerhalb eines zulassigen, mehrfach unterbrochenen 
Wertebereichs befindet. Diese Priifungsart liegt in der Regel dann vor, wenn 
der Schliisselparameter bei der Schliisselerzeugung aus dem eigentlich fur 
die kryptographische Berechnung benotigten Wert und einem zusatzlichen, 

20 an sich redundanten Sichervmgswert berechnet wurde, wie dies z.B. bei Priif- 
summenberechnungen der Fall ist. 

Wahrend es vorgesehen sein kann, manche oder alle Schliisselparameter 
jeweils einzeln zu iiberpriif en, wird vorzugsweise bei der Integritatsiiberprii- 
25 fung ermittelt, ob mindestens zwei Schliisselparameter in einer vorbestimm- 
ten Beziehung zueinander stehen. Die Integritatsiiberpriifimg kann eine 
multiplikative Operation beinhalten, worunter in der Wortwahl des vorlie- 
genden Dokuments eine Multiplikation, eine Division, eine Potenzierung, 
eine Modulo-Berechnung und eine Teilbarkeitspriifung zu verstehen sind. 
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Vorzugsweise wird uberpruft, ob ein Schlusselparameter oder ein davon 
abgeleiteter Wert glatt durch einen Sicherungswert teilbar ist. In diesem Fall 
wird der Schlusselparameter bei der Schliisselgenerierung vorzugsweise 
durch eine Multiplikation des eigentlich f xir die kryptographische Berech- 
5 nung benotigten Wertes mit dem Sicherungswert gewonnen. Der Siche- 
rungswert kann Bestandteil des Schltissels oder f est vorgegeben sein. 



Das erfindungsgemafie Verf ahren ist fur alle kryptographischen Berechnun- 
gen geeignet, bei denen eiri kryptographischer Angriff durch Verf alschung 

10 mindestens eines ersten Schliisselparameters Riickschliisse auf mindestens 
einen zweiten Schlusselparameter ermoglicht. Insbesondere ist die Erf in- 
dimg fiir die Sicherung der Entschlusselung oder Signaturerzeugung bei 
einem RSA-Verf ahren, vorzugsweise bei einem RSA-CRT-Verfahren, vor- 
gesehen. In diesen Fallen betriff t die Integritatsuberprufung den privaten 

15 RSA-Schlussel. Es ist zu erwarten, dafi entsprechende Angriffsmoglichkeiten 
fur weitere kryptographische Berechnungen gefunden werden, die dann 
ebenf alls auf die erfindungsgemafie Weise gesichert werden konnen. 



In bevorzugten Ausgestaltungen wird bei der Integritatspriifimg ermittelt, 
20 ob ein bei einer Potenzierungsoperation verwendeter Exponent glatt durch 
einen Sicherungswert teilbar ist. Diese Ausftihrungsf ormen der Erf indung 
lassen sich besonders vorteilhaf t mit einem Exponenten-Verschleierungs- 
verfahren kombinieren, wie es aus der internationalen Off enlegungsschrift 
WO 01/48974 Al bekannt ist. In weiteren vorteilhaf ten Ausgestaltungen 
25 werden - alternativ oder zusatzlich zu der gerade genannten Exponenten- 
verschleierung - die Primf aktoren des RSA-Verf ahrens mit einem Ver- 
schleierungsparameter multipliziert, so dafi das Berechnungsergebnis mittels 
einer Gleichheitsiiberpriifung modulo des Verschleierungsparameters auf 
seine Korrektheit uberpruft werden kann. 
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Das erfindungsgemafSe Computerprogrammprodtikt weist Programm- 
befehle auf, urn das erfindungsgemafie Verfahren zu implementieren. Ein 
derartiges Computerprogxammprodukt kann ein korperliches Medium sein, 
5 beispielsweise ein Halbleiterspeicher oder eine Diskette oder eine CD-ROM, 
auf dem ein Programm zur Ausf iihrung eines erfindungsgemafien Verfah- 
rens gespeichert ist. Das Computerprograrnmprodukt kann jedoch auch ein 
nicht-korperliches Medium sein, beispielsweise ein tiber ein Computernetz- 
werk ubermitteltes Signal. Das Computerprograrnmprodukt kann insbeson- 
10 dere zur Verwendung im Zusammenhang mit der Herstellxmg und/oder 
Initialisierung imd/oder Personalisierung von Chipkarten oder sonstigen 
Datentragern vorgesehen sein. 

In bevorzugten Ausgestaltungen sind das Computerprograrnmprodukt 
15 imd/oder der tragbare Datentrager mit Merkmalen weitergebildet, die den 
oben beschriebenen und/oder den in den abhangigen Verfahrensanspriichen 
genannten Merkmalen entsprechen. 

Weitere Merkmale, Vorteile und Auf gaben der Erf indung gehen aus der f ol- 
20 genden genauen Beschreibung mehrerer Ausfiihrungsbeispiele und Ausftih- 
rimgsaltemativen hervor. Es wird auf die schematischen Zeichnxmgen ver- 
wiesen, in denen zeigen: 

Fig. 1 ein beispielhaftes Flufidiagramm eines Verf ahrens zur Schliisselberech- 
25 nung mit Darstellung eines offentlichen und eines privaten Schliissels, 

Fig. 2 ein beispielhaftes Flufidiagramm eines kryptographischen Berech- 
nungsverfahrens, 
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Fig. 3ein beispielhaftes Flufidiagramm eines Ausschnitts des Verfahrens von 
Fig. 2 in einer abgewandelten Ausgestaltung, und 

Fig. 4 ein beispielhaftes Flufidiagramm eines weiteren Ausfuhrungsbeispiels 
5 des kryptographischen Berechnungsverfahrens. 

Das in Fig. 1 dargestellte Verf ahren dient zur Berechnung eines off entlichen 
Schlussels 10 und eines privaten Schlussels 12, die zur Verwendung in einem 
RSA-Verfahren ausgestaltet sind. Die gestrichelten Pfeile geben jeweils an, 

10 welcher Schlusselparameter durch welchen Verfahrensschritt erzeugt wird. 
Im Zusammenhang mit einer Verwendung des Schlusselpaares 10, 12 durch 
tragbare Datentrager (z.B. Chipkarten) kann das Verfahren z.B. im Zuge der 
Initialisierung oder Personalisierung des Datentragers in einer gesicherten 
Umgebung ausgef iihrt werden. Das extern berechnete Schlusselpaar wird 

15 dann als Teil der Initialisierungs- oder Personalisierungsdaten in den Daten- 
trager iibertragen. Alternativ ist es auch moglich, dafi das Verfahren von 
Fig. 1 durch den Datentrager selbst ausgefuhrt wird, urn das S'chliisselpaar 
zu bestimmen. 

20 Der 5ffentliche Schlussel 10 weist als Schlusselparameter einen Modulus n 
und einen off entlichen Exponenten e auf . Der private Schltissel 12 ist fur 
RSA-Berechnungen unter Verwendimg des Chinesischen Restklassensatzes 
vorgesehen, die hier auch als RSA-CRT-Berechnungen (CRT = Chinese 
remainder theorem) bezeichnet werden. Als Schlusselparameter weist der 

25 private Schltissel 12 einen ersten und einen zweiten Primf aktor p, q, einen 
CRT-Koeff izienten pinv, einen ersten und einen zweiten Sicherungswert sp, 
sq sowie einen gesicherten ersten und einen gesicherten zweiten CRT-Expo- 
nenten dp, dq auf. 
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Das in Fig. 1 dargestellte Verf ahren beginnt in an sich bekannter Weise in 
Schritt 14 mit der zuf alligen Auswahl zweier Primzahlen mit einer Lange 
von z.B. je 1024 oder 2048 Bit, die als erster und zweiter Primfaktor p, q im 
privaten Schlussel 12 gespeichert werden. Im darauff olgenden Schritt 16 
5 wird der Modulus n des offentlichen Schliissels 10 als Produkt der beiden 
Primf aktoren p, q berechnet. Der offentliche Exponent e wird in Schritt 18 als 
Zufallszahl bestimmt, die teilerfremd zum Wert (p-l)'(q~l) ist - Da im vorlie- 
genden Ausfiihrungsbeispiel der private Schlussel 12 auf RSA-CRT-Berech- 
nungen zugeschnitten ist, wird in Schritt 20 das modulare Inverse von p 
10 modulo q berechnet und als CRT-Koefizient pinv in den privaten Schlussel 
12 auf genommen. 

In Schritt 22 wird der Wert d als modulares Inverses des offentlichen Expo- 
nenten e modulo (p-l)-(q-l) berechnet. In RS A- Verf ahren, die den Chinesi- 

15 schen Restklassensatz nicht einsetzen, ware d als privater Exponent der 

Hauptbestandteil des privaten Schliissels. In bekannten RSA-CRT-Verf ahren 
wtirden statt d die beiden CRT-Exponenten d mod (p-1) und d mod (q-1) 
verwendet werden. Im vorliegenden Ausfiihrungsbeispiel enthalt der 
private Schlussel 12 dagegen Werte, die aus den genannten CRT-Exponenten 

20 d m,od (p-1) und d mod (q-1) durch eine zusatzliche Sicherungsmafinahme 
abgeleitet sind. Diese Sicherungsmafinahme ist hier beispielhaf t die Multi- 
plikation mit je einem Sicherungswert. Eine Manipulation der gesicherten 
Werte kann dann durch eine Teilbarkeitsiiberpruf ung f estgestellt werden. In 
Ausfiihrungsalternativen sind andere SicherimgsmaCnahmen vorgesehen, 

25 z.B. eine Prufsummenbildimg. 

Als Sicherungswerte sp, sq werden in Schritt 24 zwei Zufallszahlen mit einer 
Lange von beispielsweise je 64 Bit (8 Byte) erzeugt. Der gesicherte erste 
CRT-Exponent dp wird in Schritt 26 gemafi dp :== (d mod (p-1)) • sp 
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berechnet. Entsprechend wird der gesicherte zweite CRT-Exponent dq in 
Schritt 28 durch die Berechnung dq := (d mod (q-1)) • sq bestimmt. Die 
genannten Werte werden samtlich als» Parameter des privaten Schlussels 12 
abgespeichert. Damit ist die Bestimmung eines gegen Manipulationen 
5 geschutzten privaten Schlussels 12 beendet. 

Im vorliegenden Ausfiihrungsbeispiel liegt der private Schlussel 12 im 
wesentlichen in Form einer Datenstruktur RSAPrivateCRTKey gemafi den 
Konventionen der Java-Card- Anwendimgsprogrammierungsschnittstelle 

10 vor. Diese Konventionen sind im Dokument "Java Card™ 2,1.1 Application 
Programming Interface", Revision 1.0, 18. Mai 2000, herausgegeben von Sun 
Microsystems, Inc., USA, gegenwartig verfugbar unter http://java.sun.com/ 
products/javacard/ javacard21.html, beschrieben. Die dort vorgesehene Da- 
tenstruktur weist Felder DPI und DQ1 fur die ungesicherten CRT-Exponen- 

15 ten d mod (p-1) und d mod (q-1) auf . Um den privaten Schlussel 12 gemafi 
dem vorliegenden Ausfiihrungsbeispiel in einer derartigen Datensixuktur 
unterzubringen, ist im vorliegenden Ausfiihrungsbeispiel vorgesehen, dafi 
die Werte sp und dp zusammen in dem Feld DPI des RSAPrivateCRTKey 
gespeichert werden, und dafi entsprechend die Werte sq und dq zusammen 

20 in dem Feld DQ1 gespeichert werden. In Fig. 1 ist dies durch gepunktete 
Linien angedeutet In Ausfuhrungsvarianten konnen die Werte sq und dq 
auch in anderen Feldern des RSAPrivateCRTKey oder aufierhalb dieser Da- 
tenstruktur abgelegt werden. 

25 Die hier beschriebenen Ausfiihrungsbeispiele weichen insofern geringfiigig 
von der oben genannten Java-Card-Spezif ikation ab, als vorliegend das 
modulare Inverse von p modulo q als CRT-Koefizient pinv im privaten 
Schlussel 12 enthalten ist. Gemafi der Java-Card-Spezifikation wird dagegen 
ein CRT-Koeffizient PQ verwendet, der das modulare Inverse von q modulo 
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p ist. Es sind Abwandlungen der hier beschriebenen Verf ahren vorgesehen, 
bei denen der CRT-Koeffizient PQ entsprechend der Java-Card-Spezif ikation 
Bestandteil des privaten Schlussels 12 ist. Die erfindungsgemafien Ideen sind 
auch fur derartige Ausgestaltungen ohne wesentliche Veranderung einsetz- 
5 bar. 

Fig. 2 zeigt eine erste Ausgestaltung eines gesicherten RSA-CRT-Verf ahrens, 
das zur Entschlusselung oder Signaturerzeugung dient. Das Verfahren ist 
dazu vorgesehen, von einem Prozessor eines tragbaren Datentragers, insbe- 
10 sondere einer Chipkarte (smart card) oder eines Chipmoduls, ausgeftihrt zu 
werden. Das Verfahren ist dazu in Form von Programmbef ehlen fur diesen 
Prozessor implementiert, die in einem ROM oder EEPROM des Datentragers 
gespeichert sind. Der zur Entschlusselung oder Signaturerzeugung benStigte 
private Schlussel 12 ist ebenf alls im EEPROM des Datentragers gespeichert. 

15 

Beim Verfahrensaufruf wird ein Zeiger auf den privaten Schlussel 12 an die 
auf geruf ene Entschlusselungs- oder Signaturerzeugungsroutine ubergeben. 
Die Erfinder haben erkannt, dafi ein kryptographischer Angriff daduxch aus- 
gefiihrt werden kann, dafi einzelne Parameter des privaten Schliissels 12 vor 

20 Beginn der Entschlusselung oder Signaturerzeugung manipuliert werden. 
Dies kann z.B. durch gezielte Einwirkung auf das den privaten Schlussel 12 
enthaltende EEPROM oder durch IJbergabe einer fehlerhaften Adresse an 
die RS A-CRT-Routine geschehen. Ein derartiger Angriff hatte die aufierst 
nachteilige Konsequenz, dafi sich aus dem Berechnungsergebnis - z. B. den 

25 entschlusselten Paten oder der erzeugten Signatur - Riickschlusse auf die 
Werte der geheimen Schliisselparameter Ziehen liefien. Dadurch ware das 
Schlusselpaar 10, 12 fur alle bisherigen und zukiinftigen Berechnungen kom- 
promittiert. 
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Um einen derartigen kryptographischen Angriff zu verhindern, ist bei dem 
Verf ahren von Fig. 2 eine Integritatsuberpriifung des privaten Schltissels 12 
vorgesehen, die eine Folge von mehreren Teilpriifungen beinhaltet. In Fig. 2 
ist durch die gestrichelten Pf eile angedeutet, welche Schlusselparameter in 
5 die jeweiligen Teilpriifungen eingehen. 

Das Verf ahren beginnt in Schritt 30 mit der Teilprtifung, ob der im privaten 
Schlussel 12 enthaltene CRT-Koeffizient pinv tatsachlich das modulare 
Inverse zum ersten Primf aktor p modulo des zweiten Primf aktors q dar- 

10 stellt. Mit anderen Worten wird xiberpruft, ob die vorgegebene Beziehung 
p-pinv = 1 mod q erfiillt ist. Ist dies nicht der Fall, so erfolgt ein Fehleraus- 
sprung, und das Verf ahren wird abgebrochen. Ist die TJfterprufung erf olg- 
reich, so kann davon ausgegangen werden, dafi die Schlusselparameter p, q 
und pinv nicht manipuliert worden sind, und das Verf ahren wird 

15 fortgesetzt. 

Im nun f olgenden Berechnungsmodul 32 wird als Ergebnis des ersten der 
beiden CRT-Berechnungszweige ein erster Hilfswert yl bestimmt. In diese 
Berechnung gehen die zu entschlusselnden oder zu signierenden Daten x, 
20 der erste Primf aktor p und der erste CRT-Exponent d mod p-1 ein, wobei der 
letztgenannte Wert nicht unmittelbar zur Verfugung steht, sondern aus dem 
gesicherten ersten CRT-Exponenten dp und dem ersten Sicherungswert sp 
abgeleitet werden mufi. 

25 Zur Uberpriifung, ob einer der beiden Werte sp, dp manipuliert worden ist, 
wird zunachst in Schritt 34 eine Teilbarkeitspriifung vorgenommen. Falls der 
gesicherte erste CRT-Exponent dp nicht glatt durch den ersten Sicherungs- 
wert sp teilbar ist, erfolgt wiederum ein Fehleraussprung und Verf ahrens- 
abbruch. Wenn dagegen die Division ohne Rest auf geht, kann mit an Sicher- 
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heit grenzender Wahrscheinlichkeit angenommen werden, dafi zumindest 
keine zufallige Verfalschung eines der beiden Schliisselparameter sp und dp 
stattgefunden hat. Diese Teilbarkeitspriifung stellt nur einen geringen zu- 
satzlichen Rechenaufwand dar, da der Sicherungswert sp nur eine relativ 
5 geringe Bitlange atifweist. Eine gezielte Manipulation der beiden Parameter 
sp und dp unter Kenntnis des vorgesehenen Sicherungsmechanismus konnte 
durch das hier beschriebene Verfakren natiirlich nicht entdeckt werden; es 
ist aber gegenwartig nicht vorstellbar, wie ein Angreif er ein derartiges ge~ 
zieltes Einschreiben neuer Werte in einzelne EEPROM-Zellen des Daten- 
10 tragers bewerkstelligen konnte. 

Wenn die Integritatsuberpriifung hinsichtlich der Parameter sp und dp in 
Schritt 34 erf olgreich war, wird in Schritt 36 die eigentliche Berechnung des 
ersten Hilfswerts yl gem&G yl := (x mod p) A (dp/sp) ausgefuhrt. Hierbei 

15 kann hinsichtlich des Exponenten dp/sp natiirlich in der Regel auf das 

bereits in Schritt 34 berechnete Divisionsergebnis zuriickgegriffen werden. 
Da das Sicherungsverf ahren im vorliegenden Ausfuhrungsbeispiel einfach 
aus einer Multiplikation mit dem ersten Sicherungswert sp bestand - siehe 
Schritt 26 in Fig. 1 gilt dp/sp = d mod (p-1) und somit yl = (x mod p) A (d 

20 mod (p-1)). Dies ist das gewiinschte Ergebnis des ersten CRT- 
Berechnungszweigs. 

Ein zweites Berechnungsmodul 38 entspricht dem zweiten CRT-Berech- 
nungszweig. Das Verfahren lauft ebenso wie im ersten Berechnungsmodul 
25 32 ab, wobei jedoch der zweite Primfaktor q, der zweite Sicherungswert sq 
und der gesicherte zweite CRT-Exponent dq herangezogen werden. In 
Schritt 40 f olgt wiederum die Integritatsuberpriifung hinsichtlich der 
Schlusselparameter sq und dq, und in Schritt 42 wird der zweite Hilfswert 
y2 gemafi der Formel y2 := (x mod q) A (dq/sq) berechnet. 
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In dem das Verf ahren abschliefienden Berechnungsschritt 44 wird das Ge- 
samtergebnis y, also die entschlusselten Daten oder die berechnete Signatur, 
auf an sich bekannte Weise durch Kombination der beiden CRT-Hilf swerte 
5 yl und y2 bestimmt. Die hier durchgefuhrte Berechnung lafit sich f ormel- 
mafiig als y := (((y2 - yl) • pinv) mod q) • p + yl ausdriicken. Fiir die vom 
Prozessor des Datentragers vorgenommenen Berechnungsschritte kimnen 
natiirlich unterschiedliche Auswertungsreihenf olgen gewahlt werden. 
Generell sind aus der Literatur unterschiedliche Varianten der RSA-CRT- 

10 Berechnungen der Schritte 36, 42 und 44 bekannt, die sich insbesondere 

dahingehend unterscheiden, auf welche Weise Zwischenergebnisse auf die 
jeweiligen Modulo-Bereiche reduziert werden. Die erfindungsgemafie Idee 
der Integritatsiiberprufung und die im vorliegenden Ausfuhrungsbeispiel 
vorgeschlagene multiplikative Sicherung der CRT-Exponenten dp und dq 

15 konnen mit alien diesen Varianten kombiniert werden. 

Die Integritatsprxifung gemafi der vorliegenden Erf indung richtet sich 
insbesondere gegen einen kryptographischen Angriff, der zeitlich vor den 
RSA-Berechnungen - spatestens wahrend der Parameterxibergabe an die 

20 RSA-Routine - ausgefuhrt wird. Es sind weitere Angriff sverfahren bekannt, 
die auf eine Ausspahung der einzelnen Berechnungsschritte abzielen, um 
Riickschliisse auf geheimzuhaltende Schliisselparameter zu ermoglichen. 
Insbesondere die Exponentenbildung in den Schritten 36 und 42 ist solchen 
Angriff en ausgesetzt, weil bei iiblichen Implementierungen der Potenzie- 

25 rungsoperation die Prozessoraktivitat wahrend des Berechnungsablaufs 

erheblich von der Bitfolge des Exponenten abhangt. Diese Prozessoraktivitat 
kann durch Messung des Stromverbrauchs (SPA = simple power analysis 
oder DPA = differential power analysis) oder anderer Signale wie z.B. 
elektrischer Feldstarken ausgespaht werden. 
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Zum Schutz gegen derartige Angriffe ist in der internationalen Patentver- 
offentlichung WO 01/48974 Al vorgeschlagen worden, den Exponenten mit 
Rest durch eine Zuf allszahl zu teilen und statt einer einzigen Potenzierungs- 
5 operation drei getrennte Potenzierungen vorzunehmen, wobei als Exponen- 
ten der ganzzahlige Quotient, die Zufallszahl sowie der bei der Teilung 
ermittelte Rest verwendet werden. Dieses Verf ahren ist im Detail in der 
genannten PatentverOffentlichung beschrieben, deren Inhalt hiermit voll- 
standig in das vorliegende Dokument auf genommen wird. 

10 

Es ist ein besonderer Vorteil des Sicherungsverf ahrens gemafi der vorlie- 
genden Erfindung, dafi sich dieses leicht mit dem auch als "exponent 
blinding" bezeichneten Verschleierungsverfahren gemafi der 
WO 01/48974 Al kombinieren lafit, wobei sich insbesondere die fur das 
15 Verschleierungsverfahren sowieso benotigte Division auch fur das 

Sicherungsverf ahren gemafi der vorliegenden Erfindung nutzen lafit. Das 
erfindungsgemafie Verfahren kann da ! durch mit sehr geringem 
Mehraufwand implementiert werden. 

20 Fig. 3 zeigt die Verf ahrensschritte eines Berechnungsmoduls 32', das gegen- 
uber dem Berechnungsmodul 32 von Fig. 2 so abgewandelt ist, dafi es zu- 
satzlich die aus der WO 01/48974 Al an sich bekannte Technik der Exponen- 
ten-Verschleierung anwendet. Hierzu wird zunachst in Schritt 46 eine Zu- 
fallszahl r mit einer Lange von beispielsweise 64 Bit (8 Byte) gewahlt. In 

25 Schritt 48 wird eine Division mit Rest durchgefuhrt, urn den gesicherten 

CRT-Exponenten dp in die Faktoren dpi und r-sp sowie den Rest dp2 aufzu- 
teilen; es gilt dp = dpi -r-sp + dp2. Im Gegensatz zu dem aus 
WO 01/48974 Al bekannten Verfahren wird in Schritt 48 also als Divisor 
nicht die Zufallszahl r, sondern der Wert r-sp verwendet. ' 
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In den Schritten 50 und 52 werden nun die ersten beiden Potenzierungs- 
pperationen vorgenommen, indem der Basiswert x mod p zunachst mit der 
Zuf allszahl r und das so erhaltene Zwischenergebnis yll dann mit dem 
5 ganzzahligen Quotienten dpi potenziert werden. Fur das Ergebnis yl2 gilt 
somit yl2 = ((x mod p) A r) A dpl = (x mod p) A (r-dpl). Der Sicherungswert sp 
ist in die Schritte 50 und 52 nicht eingeflossen, da insoweit die zur Sicherimg 
des CRT-Exponenten dp dienende Multiplikation bereits im Zusammenhang 
mit der Division 48 riickgangig gemacht wurde. 

10 

In Schritt 54 erf olgt nun - analog zu Schritt 34 in Fig. 2 - eine Teilbarkeits- 
prufung, um die Integritat der Schliisselparameter sp und dp sicherzustellen. 
Im Gegensatz zu Schritt 34 in Fig. 2 wird hierbei jedoch nicht der gesicherte 
CRT-Exponent dp, sondern der Divisionsrest dp2 durch sp geteilt. Da sich 

15 dp2 von dp nur durch ein Vielfaches von r-sp - und somit durch ein 

Vielf aches von sp - unterscheidet, sind die beiden Uberprufungen gleich- 
wertig. Der durch die Ausfiihrung von Schritt 54 entstehende Berechnungs- 
aufwand ist jedoch wegen des erheblich kurzeren Dividenden dp2 erheblich 
geringer als bei der Berechnung von Schritt 34 in Fig. 2. Uberdies wird das 

20 ganzzahlige Divisionsergebnis dp2/sp im folgenden Schritt 56 benotigt. Die 
Division und Teilbarkeitsprufung in Schritt 54 stellt im Vergleich zu dem 
bekannten Verfahren gemafi WO 01/48974 Al den einzigen zusatzlichen 
Rechenaufwand dar. 

25 Falls dp2 kein glattes Vielfaches von sp ist, wird das Verfahren in Schritt 54 
mit einem Fehleraussprung abgebrochen. Andernf alls wird in Schritt 56 ein 
weiterer Zwischenwert yl3 gemafi yl3 := (x mod p) A (dp2/ sp) berechnet. Als 
Ergebnis yl des Berechnungsmoduls 32' wird in Schritt 58 das Produkt 
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yl2-yl3 bestimmt. Dieses Ergebnis ist identisch mit dem ersten Hilf swert yl 
gemafi Schritt 36 von Fig. 2, weil gilt: 

yl = yl2.yl3 

5 = ((x mod p) A (r dpl)) . ((x mod p) A (dp2/sp)) 

= (x mod p) A ((r dpl)+(dp2/sp)) 

= (x mod p) A (dp/ sp) 

Das gesamte RSA-CRT-Verfahren in der hier beschriebenen, besonders 
10 geschiitzten Ausfuhrungsvariante beginnt mit einer Integritatstiberpriifimg 
der Parameter p, q und pinv durch den in Fig. 2 gezeigten Schritt 30. Darauf 
f olgen als erster CRT-Berechnungszweig die Schritte des Berechnungs- 
moduls 32' gemafi Fig. 3, urn den ersten Hilf swert yl zu ermitteln. Zur 
Berechnung des zweiten Hilfswerts y2 wird ebenfalls das in Fig. 3 gezeigte 
15 Verfahren eingesetzt, wobei natiirlich die Schliisselparameter p, sp und dp 
durch q, sq und dq ersetzt werden. Die Zuf allszahl r kann entweder aus dem 
ersten Ablauf des Berechnungsmoduls 32' iibernommen oder neu bestimmt 
werden. Das Endergebnis y wird schlieClich durch eine Kombination der 
beiden Hilf swerte yl und y2 wie in Schritt 44 von Fig. 2 berechnet. 

20 

Das in Fig. 4 gezeigte Verfahren sieht einen zusatzlichen Uberpriif ungs- 
schritt vor, in dem ein weiterer Verschleierimgsparameter j herangezogen 
wird. Ein erster Berechnungsblock 60 entspricht ungefahr Schritt 30 in Fig. 2. 
In Schritt 62 wird der Verschleierungsparameter j als zufallige Primzahl mit 
25 einer Lange von beispielsweise 32 Bit (4 Byte) gewahlt. Die Primf aktoren p 
und q werden in den Schritten 64 und 66 mit dem Verschleierungsparameter 
j multipliziert, um verschleierte Primfaktoren p 1 bzw. q ! zu erhalten. In 
Schritt 68 erf olgt ein Test, um die Integritat der Schlusselparameter p, q und 
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pinv zu uberprufen. Falls p'-pinv = j mod q 1 gilt, wird das Verfahren fortge- 
setzt; andernf alls erf olgt ein Fehleraussprung. 

In einem zweiten Berechnungsblock 70 wird ein erster Hilf swert yl gemafi 
5 der Formel yl := (x A (dp/sp)) mod p' bestimmt. Der erste Hilf swert yl ent- 
spricht im wesentlichen dem ersten Hilf swert der Ausfuhrungsbeispiele von 
Fig. 2 und Fig. 3, wobei jedoch p' statt p fur die Modulo-Berechnung 
herangezogen wird. Im Detail erf olgt die Berechnung in unterschiedlichen 
Ausfiihrungsvarianten entweder wie im Berechnungsmodtd 32 von Fig. 2 
10 oder wie im Berechnungsmodtd 32* von Fig. 3. In beideh Fallen wird eine 

Teilbarkeitspriifung durchgefuhrt, um die Integritat der Schliisselparameter 
sp und dp sicherzustellen. 

Ein dritter Berechnungsblock 72 entspricht dem zweiten Berechnungsblock 
15 70 mit dem Unterschied, daJS statt dp, sp und p' die Werte dq, sq und q 1 
herangezogen werden, um einen zweiten Hilfswert y2 zu berechnen. 
Wiederum kann der dritte Berechnungsblock 72 entweder wie das 
Berechnungsmodul 38 in Fig. 2 oder analog der Darstellung von Fig. 3 
ausgestaltet sein. Durch einen Teilbarkeitstest im dritten Berechnungsblock 
20 72 wird die Integritat der Schliisselparameter sq und dq tiberpriif t. 

Schritt 74 betrifft die Berechnung eines Zwischenergebnisses y' vermoge der 
Formel y ! := [((y2 - yl) • pinv) mod q 1 ] • p + yl. Dies entspricht ungefahr 
Schritt 44 in Fig. 2. In Schritt 76 erf olgt ein weiterer Test, der die bisherigen 
25 Berechnungen miteinander in Beziehung setzt und gestorte 

Berechnungsablauf e erkennt. Es wird iiberpruft, ob die f olgende 
Gleichheitsbeziehung modulo j gilt: 
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y' mod j = [ ((x A (dq/sq)) mod j - (x A (dp/sp)) mod j) • pinv • p 
+ (x A (dp/sp)) mod j ] mod j 

Falls diese Gleichung nicht erfullt ist, erf olgt ein Fehlerabbruch. Andernf alls 
5 wird das Verf ahren in Schritt 78 mit der Berechnung des Endergebnisses y 
gemafi y := y 1 mod n abgeschlossen, wobei n der Modulus mit n = p q ist. 
Durch die weitere Uberpriifung des Berechnxmgsverlauf s in Schritt 76 wird 
bei dem Verfahren gemafi Fig. 4 ein nochmals verbesserter Schutz gegen 
kryptographische Angriffe erreicht. 

10 



Patentanspriiche 

Verf ahren zum geschutzten Ausfiihren einer kryptographischen 
Berechnung, bei der ein Schliissel (12) mit mindestens zwei 
Schltisselparametern (p, q, pinv, sp, dp, sq, dq) herangezogen 
wird, dadurch gekennzeichnet, dafi eine Integritatsiiberpriifung 
(30, 34, 40, 54) des Schliissels (12) durchgefuhrt wird, nm einen 
kryptographischen Angriff zu verhindern, bei dem durch eine 
Verf alschung mindestens eines ersten Schlusselparameters (p, q, 
pinv, sp, dp, sq, dq) Riickschliisse auf mindestens einen zweiten 
Schliisselparameter (p, q, pinv, sp, dp, sq, dq) gezogen werden. 

Verf ahren nach Anspruch 1, dadurch gekennzeichnet, dafi bei der 
Integritatsiiberpriifung (30, 34, 40, 54) ermittelt wird, ob sich der 
Wert mindestens eines Schlusselparameters (p, q, pinv, sp, dp, sq, 
dq) in einem mehrfach unterbrochenen Bereich zulassiger Werte 
befindet. 

Verf ahren nach Anspruch 1 oder Anspruch 2, dadurch gekenn- 
zeichnet, dafi bei der Integritatsiiberpriifung (30, 34, 40, 54) ermit- 
telt wird, ob mindestens zwei Schliisselparameter (p, q, pinv, sp, 
dp, sq, dq) in einer vorbestimmten Beziehung zueinander stehen. 

Verf ahren nach einem der Anspriiche 1 bis 3, dadurch gekenn- 
zeichnet, dafi die Integritatsuberpriifung (30, 34, 40, 54) eine 
multiplikative Operation, insbesondere eine Teilbarkeitspriifung, 
beinhaltet 

Verf ahren nach einem der Anspriiche 1 bis 4, dadurch gekenn- 
zeichnet, dafi bei der Integritatspriifung (30, 34, 40, 54) gepriift 
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10 



wird, ob ein Schliisselparameter (p, q, pinv, sp, dp, sq, dq) oder 
ein Wert, der sich von dem Schliisselparameter (p, q, pinv, sp, dp, 
sq, dq) durch ein Vielf aches eines Sicherungswertes (sp, sq) unter- 
scheidet, glatt durch den Sicherungswert (sp, sq) teilbar ist. 

6. Verfahren nach einem der Ansprtiche 1 bis 5, dadurch gekenn- 
zeichnet, dafi die kryptographische Berechnung eine Entschlxisse- 
lung oder Signaturerzeugung bei einem RSA-Verfahren,*insbe- 
sondere einem RSA-CRT- Verfahren, ist. 



7. Verfahren nach Anspruch 6, dadurch gekennzeichnet, dafi bei der 
kryptographischen Berechnung mindestens eine Potenzierungs- 
operation durchgef tihrt wird, und daJS bei der Integritatspruf ung 
(30, 34, 40, 54) gepruft wird, ob der bei der Potenzierungsopera- 

15 tion verwendete Exponent glatt durch einen Sicherungswert (sp, 

sq) teilbar ist. 

8. Verfahren nach Anspruch 7, dadurch gekennzeichnet, dafi bei der 
kryptographischen Berechnung ein Exponenten-Verschleierungs- 

20 verfahren zum Ausspahungsschutz angewendet wird. 

9. Verfahren nach einem der Anspruche 6 bis 8, dadurch gekenn- 
zeichnet, dafi die Primf aktoren (p, q) des RSA-Verf ahrens mit 
einem Verschleierungsparameter (j) multipliziert werden, und 

25 dafi die Fehlerfreiheit des Berechnungsverlauf s durch eine Gleich- 

heitsuberpriifung modulo des Verschleierungsparameters Q) 
iiberpriif t wird. 



# • 
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10. Verfahren zum Bestimmen eines Schliissels fiir eine kryptographi- 
sche Berechnung mit mindestens zwei Schlusselparametern (p, q, 
pinv, sp, dp, sq, dq), der zur Verwendung in einem Verfahren 
nach einem der Anspriiche 1 bis 9 vorgesehen ist. 

5 

11. Verfahren nach Anspruch 10, dadurch gekennzeichnet, dafi 
mindestens ein Schliisselparameter (p, q, pinv, sp, dp, sq, dq) 
durch eine Mtdtiplikation eines fiir die kryptographischen 
Berechnung benotigteh Wertes mit einem Sicherungswert (sp, sq) 

10 erhalten wird. 

12. Computerprogrammprodukt, das Programmbefehle aufweist, urn 
einen Prozessor zu veranlassen, ein Verfahren mit den Merkmalen 
eines der Anspriiche 1 bis 11 auszufiihren. 



15 



13. Tragbarer Datentrager, insbesondere Chipkarte oder Chipmodul, 
der zur Ausfiihrung eines Verf ahrens mit den Merkmalen eines 
der Anspriiche 1 bis 11 eingerichtet ist. 




Zusammenfassung 

Bei einem Verfahren zum geschutzten Ausfiihren einer kryptographischen 
5 Berechnung, bei der ein Schliissel (12) mit mindestens zwei Schlusselpara- 
metern (p, q, pinv, sp, dp, sq, dq) herangezogen wird, wird eine Integritats- 
iiberprufung(30, 34, 40, 54) des Schliissels (12) durchgefuhrt, urn einen 
kryptographischen Angriff zu verhindern, bei dem durch eine Verfalschung 
mindestens eines ersten Schliisselparameters (p, q, pinv, sp, dp, sq, dq) 

10 Ruckschltisse auf mindestens einen zweiten Schliisselparameter (p/q, pinv, 
sp, dp, sq, dq) gezogen werden. Ein weiteres Verfahren dient zum 
Bestimmen eines Schliissels fur eine kryptographische Berechnung mit 
mindestens zwei Schlusselparametern (p, q, pinv, sp, dp, sq, dq), der zur 
Verwendung in dem erstgenannten Verfahren vorgesehen ist. Ein 

15 Computerprogrammprodukt und ein tragbarer Datentrager weisen 

entsprechende Merkmale auf. Die Erfindung ermoglicht einen besonders 
guten Schutz kryptographischer Berechntmgen gegen Angriff e. 
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Y2 := (X MOD Q) A (DQ/SQ) 



-42 



Y := [ ((Y2 - Y1 ) • PINV) MOD Q ] • P + Y1 
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Y13:=(XMOD P) A (DP2/SP) 
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Y := V MOD N MIT N = P-Q 
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